Posts

Showing posts from August, 2020

So you want to roll your own crypto?

A coworker of mine asked:How are people supposed to learn (from mistakes) if they don't roll their own crypto?The short answer is do roll your own crypto, but don't use it in production until it's vetted by professionals. The long answer below might take a few years to hash out.Making mistakes is an unavoidable part of the learning process. I've been rolling crypto for Google production for years, but my code is not bug free and will never be. I found that the cheapest way to learn from mistakes is to learn from other people’s mistakes. I recommend taking Cryptography I, doing CTFs, and solving crypto challenges. This won't take long, and very quickly you'd be pretty dangerous because you'd be able to find many crypto bugs.But it's just the beginning. When I got to Google, I thought I knew crypto because look at all the bugs I found! I was so wrong. It took me years to learn the tradecraft from the real experts which fortunately my employer has plenty.T…

Reminder: Tìm việc ở Thung lũng Silicon

Image
9h sáng nay giờ Việt Nam (7h tối giờ California), tôi sẽ tham gia buổi buổi nói chuyện về cơ hội tìm việc làm ở Silicon Valley. Khách mời khá đa dạng,  có kỹ sư, quản lý, nghiên cứu, có nam có nữ, có công ty lớn và cả startup. Mời mọi người tham gia và nhờ loan tin giùm.Giờ Việt Nam: 30/8/2020, 9:00-11:00 (sáng chủ nhật hôm nay)
Giờ USA/Los_Angeles: August 29, 19:00-21:00 (tối thứ bảy hôm nay)
Live stream: https://www.youtube.com/watch?v=tkEzXpuPeAA
Đặt câu hỏi: https://app.sli.do/event/wki7lk13
Facebook event: https://www.facebook.com/events/1006788999773076/
Chương trìnhKhách mời tự giới thiệuChuẩn bị nghề nghiệpPhỏng vấnThỏa thuận lương bổngTrải nghiệm cuộc sống ở Silicon ValleyBan tổ chức và khách mờiHuân Trương, Embedded Engineer, TeslaThái Dương, Security Engineer, GoogleTuấn Đặng, Backend Integration Engineer, EasyPost, ex-MicrosoftChân Lê, Tech Lead, Salesforce, ex-FacebookĐạt Lê, Marketing, early-stage fintech, Ex-UberTrịnh Công, R&D manager, Applied Materials IncHạnh Phạm, …

Section 230: the sword and armor of the Internet

This piece of mine was originally in Vietnamese and published in VnExpress, the most popular Internet newspaper in Vietnam. I was humbled to learn that the Vietnam experts at Harvard Kennedy School wanted it translated to English and included in a policy memo that they'll share with the Government of Vietnam.The translation was done by Nguyen Quy Tam, Fulbright School of Public Policy and Management, and reposted here with Tam's permission.--I first went online 20 years ago and probably never disconnected. I was one of the first generation of young Vietnamese to grow up on the Internet. I honestly couldn't imagine what my life would be like without it. For years of being schooled in Vietnam, I quietly learned how to "self-censor". I know what I shouldn't say, be obedient and don't dare to ask questions. Life is simple, white - black, friend - enemy, right - wrong, it is all predefined, just memorize.Fortunately, what was not learned in school, I learned f…

Vietbay Sharing: Tìm việc ở Silicon Valley

Đây là buổi chia sẻ do anh Huân Trương tổ chức. Tôi cũng sẽ tham gia.
Huân muốn nhắm tới các bạn sinh viên (trong và ngoài nước) muốn tìm cơ hội làm việc tại Silicon Valley. Tôi hi vọng cũng sẽ hữu ích với những ai đã đi làm rồi.
Giờ Việt Nam: 30/8/2020, 9:00-11:00 (sáng chủ nhật tuần này) Giờ USA/Los_Angeles: August 29, 19:00-21:00 (tối thứ bảy tuần này)
Live Stream: https://www.youtube.com/watch?v=tkEzXpuPeAA
Đặt câu hỏi: https://app.sli.do/event/wki7lk13
Các chủ đề có thể được bàn tàn: - Cuộc sống ở Silicon Valley ra sao - Làm sao để có được cuộc phỏng vấn đầu tiên - Resume, referral, và LinkedIn - Chuẩn bị cho cuộc phỏng vấn đầu tiên - COVID và Silicon Valley - Những ngộ nhận thường gặp - Những mẹo vặt khác - Hỏi đáp
Tôi có viết vài bài về chuyện này: - Kinh nghiệm tìm việc làm ở Silicon Valley - Làm resume - Mẹo phỏng vấn tìm việc

"Bẩn thỉu và mất dạy"

Image
Nguồn
TanNg là Tổng giám đốc VCCorp, công ty chủ quản của những tờ báo hết sức uy tín như Kênh14 hay GenK. Thú thật tôi kỳ vọng người ở vị trí như TanNg phải chửi một cách bài bản và có trình độ hơn, chứ chửi vầy tôi không biết trả lời sao luôn.
Edit: tôi bỏ một đoạn snarky. Tôi muốn make fun, nhưng giờ đọc lại chẳng thấy mắc cười gì hết. Hi vọng mọi người sẽ tập trung vào phần còn lại của bài này.
Thôi bỏ, người khôn nói chuyện ý tưởng chứ ai lại bàn tán cá nhân. Cuộc tranh luận trên GitHub khiến tôi nhận ra một chi tiết thú vị, rằng khi tranh luận với ai đó ta thường tìm hiểu coi đối phương là ai, nhưng có thể với lý do rất khác nhau.
Người tranh luận để chiến thắng bằng mọi giá sẽ dựa vào thân thế, sự nghiệp (hay là lack thereof) của đối phương để dìm hàng lý lẽ của người ta. Đây là ngụy biện bằng cách tấn công cá nhân, vì thay vì tấn công ý kiến, họ sẽ tấn công người đưa ý kiến. Anh chẳng hiểu gì về contact tracing cả, anh có làm contact tracing bao giờ chưa, anh làm hay là anh chỉ sử…

Bằng chứng máy chủ Bluezone có thể âm thầm lấy dữ liệu của người dùng

Tôi vừa đưa lên https://github.com/thaidn/bluezone hướng dẫn để những lập trình viên và những ai quan tâm có thể tận mắt chứng kiến cách máy chủ Bluezone có thể âm thầm lấy lịch sử tiếp xúc của tất cả người dùng Bluezone. Xin nhấn mạnh là tất cả, bất kể người đó có từng tiếp xúc với F nào hay không.Tóm lại máy chủ có toàn quyền quyết định lấy dữ liệu bất kỳ lúc nào mà không cần có sự đồng ý của người dùng. Có thể máy chủ sẽ không bao giờ làm vậy, nhưng câu hỏi là làm sao chúng ta có thể kiểm tra được nếu họ không cam kết và không cung cấp thông tin cách họ làm trên máy chủ?Xem thêm thảo luận ở đây.

Trả lời phỏng vấn BBC Việt Ngữ về Bluezone

(Một phần phỏng vấn được BBC đăng ở đây)
1. Anh có thể cho biết cơ chế hoạt động của Bluezone để hỗ trợ người dùng cũng như các cơ quan nhà nước Việt Nam trong việc phòng chống dịch Covid-19?
Thưa chị, Bluezone là một ứng dụng điện thoại giúp phát hiện ai đã tiếp xúc với ai, thông qua sóng Bluetooth Low Energy. Bluezone giúp cơ quan nhà nước Việt Nam thực hiện truy vết tiếp xúc (contact tracing), để phát hiện nguồn lây nhiễm (F0) và những ai có nguy cơ phơi nhiễm (F1, F2, v.v.). Người sử dụng Bluezone sẽ biết được họ từng tiếp xúc với F0 hay F1 nào không.
Trên lý thuyết là như vậy, còn thực tế hiệu quả và độ chính xác như thế nào thì tôi không có đủ thông tin để đánh giá.
2. Sau cập nhật mới nhất, liệu Bluezone còn những lỗ hổng nào mất an toàn cho người dùng không? Quyền riêng tư của người dùng được đảm bảo tới đâu?
Trước khi trả lời câu hỏi này, tôi muốn kể một chút về “duyên nợ" của tôi với Bluezone. Khi Bluezon…

Jonny Kim

Image
Hôm nay tôi mới biết về Jonny Kim. Jonny là Navy SEAL nhiều năm chinh chiến ở Iraq, bác sĩ tốt nghiệp Harvard Medical School và bây giờ là phi hành gia NASA.
SEAL là lực lượng tinh nhuệ nhất của Hải quân Mỹ. Harvard Medical School là trường y số một thế giới. Ai cũng có thể phi hành tỏi, chứ muốn trở thành phi hành gia của NASA thì khó ngang với lên trời.
Nhà Jonny nghèo, ba nghiện rượu và hay đánh con. Tốt nghiệp cấp 3, Jonny quyết định đăng lính với ước mơ trở thành SEAL để bảo vệ người khác. Tốt nghiệp SEAL với vai trò cứu thương chiến trường và lính bắn tỉa, Jonny đã thực hiện hơn 100 chiến dịch ở Iraq, được trao Huân chương Sao Bạc (Silver Star Medal).
Lúc ở Iraq, chứng kiến đồng đội chết mà không cứu được, Jonny muốn học để trở thành bác sĩ. Ở Mỹ muốn học bác sĩ phải có bằng đại học, nên Jonny vào học toán ở UC San Diego, tốt nghiệp thủ khoa luôn. Đang học ở Harvard, Jonny đăng ký chương trình phi hành gia của NASA, cùng với 11 người khác vượt qua hơn 18.000 ứng viên. Làm nhiêu đó …

Cập nhật về Bluezone

Image
Bằng cách phân tích phiên bản Android mới nhất (2.0.3, phát hành ngày 3/8/2020), tôi thấy app Bluezone đã sửa chữa những lỗ hổng quan trọng nhất mà tôi đã loan báo hồi tháng 4. Cụ thể, Bluezone đã không còn sử dụng một ID duy nhất, mà đã tự động thay đổi ID mỗi vài phút. Ngoài ra, Bluezone cũng đã không còn thu thập địa chỉ Bluetooth Classic nữa, nhờ nỗ lực thuyết phục của anh Phan Dương Hiệu.
Nếu như trước đây ai cũng có thể theo dõi hay thu thập thông tin của người sử dụng Bluezone, với cách làm hiện tại thì chỉ có đội phát triển Bluezone và Chính phủ Việt Nam mới có thể thu thập thông tin. Những F0 sẽ được cấp một mã OTP để tải lên máy chủ Bluezone toàn bộ lịch sử tiếp xúc. Từ F0, máy chủ sẽ thông báo đến các F1 và toàn bộ lịch sử tiếp xúc của F1 cũng sẽ được đưa lên máy chủ Bluezone.
Với cách làm này, máy chủ Bluezone sẽ có thông tin social graph (ai quen ai; ai gặp ai, vào lúc nào) của người dùng. Hiện tại Bluezone có hơn 2 triệu cài đặt và nhiều khả năng sẽ tăng cao trong thời gi…